Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücken: PDF-Signaturen…

Ich vermisse so einige Programme...

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich vermisse so einige Programme...

    Autor: mifritscher 25.02.19 - 08:31

    Libreoffice wird doch kaum jemand ernsthaft fürs Betrachten von pdf-Dateien verwenden... Von den 3 letzten habe ich auch noch nie was gehört. Dafür vermisse ich Okular, ghostscript und Evince.

  2. Re: Ich vermisse so einige Programme...

    Autor: hannob (golem.de) 25.02.19 - 08:44

    mifritscher schrieb:
    --------------------------------------------------------------------------------
    > Libreoffice wird doch kaum jemand ernsthaft fürs Betrachten von pdf-Dateien
    > verwenden... Von den 3 letzten habe ich auch noch nie was gehört. Dafür
    > vermisse ich Okular, ghostscript und Evince.

    Vorletzter Absatz: "Nicht in der Liste der betroffenen Programme sind die quelloffenen PDF-Betrachter Evince und Okular sowie auch keine Browser. Das hat einen einfachen Grund: Diese Programme unterstützen die Verifikation von PDF-Signaturen überhaupt nicht."

    Ghostscript ist sowieso inhärent unsicher und auf keinen Fall dafür geeignet Dokumente aus nicht vertrauenswürdigen Quellen zu öffnen.

  3. Re: Ich vermisse so einige Programme...

    Autor: mifritscher 25.02.19 - 09:13

    Oh, ich dachte dass schonmal gesehen zu haben...

    Ah, poppler (die Bib dahinter) kann es, aber sie haben es noch nicht in die GUIs verdrahtet.
    Dann hätte man poppler testen können - gibt mit pdfsig sogar ein (cli-)Frontend ;-)

    Es spuckt zumindest schonmal Meldungen wie
    > Syntax Error (0): Invalid or missing ByteRange array
    und
    > File 'isa-1.pdf' does not contain any signatures
    aus.

    Bei https://www.pdf-insecurity.org/download/exploits/5_Foxit_Reader/siwa.pdf knallts (Speicherschutzverletzung) - das könnte ein Hinweis auf eine Sicherheitslücke sein.

    Version: 0.62.0-2ubuntu2.7

  4. Re: Ich vermisse so einige Programme...

    Autor: Kaedo 25.02.19 - 09:17

    Danke für den Hinweis.

    VG
    Martin

  5. Re: Ich vermisse so einige Programme...

    Autor: hannob (golem.de) 25.02.19 - 09:20

    mifritscher schrieb:
    --------------------------------------------------------------------------------
    > Bei www.pdf-insecurity.org knallts (Speicherschutzverletzung) - das könnte
    > ein Hinweis auf eine Sicherheitslücke sein.
    >
    > Version: 0.62.0-2ubuntu2.7

    Das dürfte dann eher daran liegen dass ubuntu eine uralte Version hat und mit dem Backporten der Securityfixes nicht nachkommt. Bei einer aktuellen Version crasht das nicht.
    Poppler wurde vor einiger Zeit in das oss-fuzz-Projekt von Google aufgenommen und seither wurden hunderte von potentiellen Sicherheitslücken gefixt.



    1 mal bearbeitet, zuletzt am 25.02.19 09:36 durch hannob (golem.de).

  6. Re: Ich vermisse so einige Programme...

    Autor: mifritscher 25.02.19 - 09:28

    Danke fürs testen! Gut zu wissen, das war Ubuntu 18.04 LTS. Dann muss ich wohl Ubuntu ein wenig auf die Finger hauen ;-)

  7. Re: Ich vermisse so einige Programme...

    Autor: DeathMD 25.02.19 - 09:35

    Da kamen aber erst am Wochenende Updates rein, also für ghostscript und poppler. Müsste man nachsehen, was da gefixt wurde.

    BRAWNDO: The Thirst Mutilator

    It's got Electrolytes

  8. Re: Ich vermisse so einige Programme...

    Autor: chefin 25.02.19 - 13:10

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > mifritscher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bei www.pdf-insecurity.org knallts (Speicherschutzverletzung) - das
    > könnte
    > > ein Hinweis auf eine Sicherheitslücke sein.
    > >
    > > Version: 0.62.0-2ubuntu2.7
    >
    > Das dürfte dann eher daran liegen dass ubuntu eine uralte Version hat und
    > mit dem Backporten der Securityfixes nicht nachkommt. Bei einer aktuellen
    > Version crasht das nicht.
    > Poppler wurde vor einiger Zeit in das oss-fuzz-Projekt von Google
    > aufgenommen und seither wurden hunderte von potentiellen Sicherheitslücken
    > gefixt.

    potentielle Sicherheitslücken sind wie potentiell Schwangere. Eine Frau kann schwanger sein oder nicht. Potentiell schwanger ist sie seit Geburt aufgrund ihrer Biologie. Eine potentielle Sicherheitslücke bedeutet also das man einen Code bastelt der Sicherheitslücken als feature mitbringt und sie direkt oder indirekt nutzbar sind. Aber bereits durch Vorgaben beim erzeugen des Codes mit eingebaut werden.

    Ok..wenn die NSA den Code schreibt könnte er potentielle Sicherheitslücken enthalten. Aber ansonsten sind es existente Sicherheitslücken, wenn dafür ein Bugfix erstellt wird.

  9. Re: Ich vermisse so einige Programme...

    Autor: mifritscher 25.02.19 - 13:56

    Naja, eine Speicherschutzverletzung ist bereits an sich eine Sicherheitslücke. Zumindest ein DoS (das Programm stürzt ab). Viele solche Fehlerbilder können zudem für weitere Angriffe ausgenutzt werden, wenn man die Eingabedaten entsprechend anpasst.

  10. Re: Ich vermisse so einige Programme...

    Autor: Vash 26.02.19 - 08:42

    Das ist genau dann eine Sicherheitslücke wenn der fehlerhaft beschriebene Speicher auch Code ausführen würde ohne abzustürzen. Stürzt das Programm ab, auch wenn (böser) Code im Speicher vorhanden wäre, ist es doch OK oder?

    Also Absturz ist grundsätzlich nicht gut, Denial of Service wird ja erwähnt, aber solange kein fremder Code ausgeführt wird sind wir zumindest in diesem Kontext "sicher" als das kein unerlaubter Zugriff auf Ressourcen gewährt wird.



    1 mal bearbeitet, zuletzt am 26.02.19 08:43 durch Vash.

  11. Re: Ich vermisse so einige Programme...

    Autor: mifritscher 26.02.19 - 09:03

    Wenn ein Programm mit einer vom Programm ausgegebenen Fehlermeldung kontrolliert abstürzt ist es eine Sache. Ein Programm, das völlig unkontrolliert mit einer Speicherschutzverletzung abstürzt, eine andere. Da hat nämlich das Programm nämlich eben genau versucht, auf unerlaubten Speicher zuzugreifen - und musste vom OS gestoppt werden. Hier konnte das OS noch eingreifen, weil der verbotene Zugriff offensichtlich war (In einem nicht gemappten Teil des virtuellen Adressraums o.ä.) Wenn sowas beim Einlesen von Daten passiert kann man das in >90% der Fälle ausnutzen einen Zugriff auf einen beliebigen Bereich des virtuellen Adressraums zu erzwingen, wo das Programm zugreifen darf (Programmcode, Datenbereich etc.). Wenn der fehlerhafte Zugriff ein schreibender oder ein ausführender war hat man bereits gewonnen (und muss sich höchstens noch um allgemeine Schutztechniken scheren, die man aber, wenn man sich geschickt anstellt, auch umgehen kann - als kleines Beispiel sei ROP genannt). Bei einem fehlerhaften lesenden Zugriff muss man sich die Stelle ein wenig genauer anschauen und schauen, ob man dadurch schreibende oder ausführende Zugriffe beeinflussen kann (Z.B. eine Speicherstelle mit einem bestimmten Wert lesen, wo es dann etwas später zu einem Buffer- oder Stack Overflow kommt, wodurch man wiederrum meist Kontrolle über das Programm gewinnen kann - oder Argumente für einen externen Funktionsaufruf so verbiegen, dass da böse Dinge passieren etc.)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. JEMAKO Produktionsgesellschaft mbH, Rhede
  2. THD - Technische Hochschule Deggendorf, Deggendorf
  3. über Hays AG, München
  4. STRABAG BRVZ GMBH & CO.KG, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,16€
  2. (-75%) 6,25€
  3. 44,99€
  4. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Fachkräftemangel Freie sind gefragt
  2. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  3. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt

IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig

Nachhaltigkeit: Bauen fürs Klima
Nachhaltigkeit
Bauen fürs Klima

In Städten sind Gebäude für gut die Hälfte der Emissionen von Treibhausgasen verantwortlich, in Metropolen wie London, Los Angeles oder Paris sogar für 70 Prozent. Klimafreundliche Bauten spielen daher eine wichtige Rolle, um die Klimaziele in einer zunehmend urbanisierten Welt zu erreichen.
Ein Bericht von Jan Oliver Löfken

  1. Klimaschutz Großbritannien probt für den Kohleausstieg
  2. Energie Warum Japan auf Wasserstoff setzt

  1. US-Sanktionen: Huawei soll weitere 90 Tage Aufschub bekommen
    US-Sanktionen
    Huawei soll weitere 90 Tage Aufschub bekommen

    Der chinesische IT-Konzern Huawei bekommt wohl einen weiteren kurzfristigen Aufschub der US-Sanktionen, um weiter bei Zulieferern einkaufen zu können. Damit sollen Kunden von Huawei bedient werden können.

  2. IT-Arbeit: Was fürs Auge
    IT-Arbeit
    Was fürs Auge

    Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.

  3. Verfassungsschutz: Einbruch für den Staatstrojaner
    Verfassungsschutz
    Einbruch für den Staatstrojaner

    Der Verfassungsschutz soll künftig auch Computer und Smartphones von Verdächtigen durchsuchen dürfen. Um Staatstrojaner zu installieren, sollen Wohnungseinbrüche erlaubt sein.


  1. 11:33

  2. 09:01

  3. 14:28

  4. 13:20

  5. 12:29

  6. 11:36

  7. 09:15

  8. 17:43